在一般情況下,一般用戶通過執行“su -”命令、輸入正確的root密碼,可以登錄為root用戶來對系統進行管理員級別的配置。
但是,為了更進一步加強系統的安全性,有必要建立一個管理員的 組,只允許這個組的用戶來執行“su -”命令登錄為root用戶,而讓其他組的用戶即使執行“su -”、輸入了正確的root密碼,也無法登錄為root用戶。在UNIX下,這個組的名稱通常為“wheel”。
[root@sample ~]# usermod -G wheel CentOSpub ← 將一般用戶 CentOSpub 加在管理員組wheel組中
[root@sample ~]# vi /etc/pam.d/su ← 打開這個配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
↓
auth required /lib/security/$ISA/pam_wheel.so use_uid ← 變為此狀態(大約在第6行的位置)
[root@sample ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 添加語句到行末
以上操作完成後,可以再建立一個新用戶,然後用這個新建的用戶測試會發現,沒有加入到wheel組的用戶,執行“su -”命令,即使輸入了正確的root密碼,也無法登錄為root用戶